Ende-zu-Ende-Verschlüsselung

Verschlüsselung ist nicht gleich Verschlüsselung

Für den durchschnittlichen Endanwender ist es oftmals nicht leicht zu verstehen, vor wem er seine Daten mit einer bestimmten Verschlüsselungstechnik eigentlich schützt. Dabei spielen die konkreten Bedürfnisse eine große Rolle.

Cloud-Anwendungen sind in aller Munde. Dies gilt für Heimanwender wie Firmennutzer gleichermaßen. Die Vorteile liegen auf der einen Seite auf der Hand: Hochverfügbarkeit und Kostenersparnis. Der Betrieb eigener Server wird eingespart, der Installationsaufwand entfällt, Ausfälle werden durch redundante Systeme seitens der Cloud-Betreiber minimiert, und die eigenen Daten sind auf allen Geräten jederzeit abrufbar.

Auf der anderen Seite gibt es die Cloud-Skeptiker, und auch hier gibt es gute Argumente: Eine gute Internetverbindung ist stets erforderlich, ein Wechsel zwischen Cloud-Diensten ist oftmals beschwerlich, und: Die eigenen Daten sind für jeden jederzeit abrufbar. Die letzte Aussage mag überspitzt formuliert sein, Meldungen aus der Nachrichtenwelt zum Thema Edward Snowden und NSA lassen viele jedoch skeptisch und unsicher zurück. Als Experte auf dem Gebiet der IT-Sicherheit kann man festhalten: Die Skepsis ist nicht unberechtigt.

"Ich habe ja nichts zu verbergen"

Am Satz "Ich habe ja nichts zu verbergen" scheiden sich vermutlich die Geister der aktuellen IT-Ära. Dies gilt zumindest für den durchschnittlichen Privatanwender, bei deutschen Unternehmen finden zumindest die allgemeinen Datenschutzgesetze Anwendung. Unter anderem die Einhaltung des BDSG (Bundesdatenschutzgesetz) geht in vielen Unternehmen so weit, dass interne Richtlinien die Nutzung von Cloud-Diensten außerhalb Deutschlands zu bestimmten Zwecken schlicht verbieten. Im Gegensatz dazu veröffentlicht so mancher im Privatbereich ungebremst Fotos oder Meinungsaussagen in Social Networks, die zu einer Kündigung des Jobs oder Strafanzeigen führen.

Den Stellenwert der eigenen Privatsphäre muss letztendlich jeder für sich entscheiden. Solange andere nicht betroffen sind oder geschädigt werden, bleibt dies auch Sache des Einzelnen. Dennoch sollte sich jeder fragen, inwieweit ihm eine ungewollte Veröffentlichung von eigenen Daten aus bestimmten Cloud-Diensten "egal" ist. Als einfaches Beispiel seien die Fotos der letzten Familienfeier in der Cloud genannt, die nur hochgeladen wurden, um sie einfach mit der ganzen Familie teilen zu können. Auf diese Frage wird jeder eine andere Antwort geben. Andere Beispiele sind Cloud-Backups der letzten Steuererklärung, des Kaufvertrags für das neue Auto oder Ähnliches.

Verschlüsselt ja, aber wie?

Eine funktionierende IT-Sicherheit zu gewährleisten ist Hauptaufgabe der entsprechenden Anbieter von Web- und Cloud-Diensten. Hier gibt es diverse Standards, nach denen man sich richten muss, und zwar nicht nur auf dem Papier, sondern auch praktisch. Wer sich darauf als Anwender nicht verlassen will, setzt zusätzlich auf Verschlüsselung.

Es gibt viele Arten der Verschlüsselung, sie zu unterscheiden ist für den normalen Verbraucher meist unmöglich. Einige werden ohne Wissen automatisch genutzt. HTTPS-Verbindungen über das Transport Layer Security Protokoll (TLS, früher SSL) beispielsweise werden beim Homebanking oder Online-Shopping verwendet. Hierbei ist der Transportweg der Daten zum Server im Internet verschlüsselt. Dies ist glücklicherweise heute zum Quasi-Standard geworden, zumindest bei wichtigen Daten. Viele Internetnutzer sind hierzu sensibilisiert.

Doch was nützt die verschlüsselte Übertragung der Daten, wenn Hacker diese am Server durch eine Sicherheitslücke wieder abgreifen? Ein anderes Beispiel: Auch heute noch kann nicht sichergestellt werden, dass eine E-Mail über ausschließlich verschlüsselte Transportwege ihren Empfänger erreicht. Seit die großen Internet-Provider in Deutschland TLS zwangsweise als sichere Verbindung zwischen Mail-Clients (Desktop, mobil) und Mail-Servern durchgesetzt haben, ist der E-Mail-Verkehr in Deutschland zwar erheblich sicherer geworden, aber dies gilt nicht überall.

Für den Fall E-Mail existieren mindestens zwei gängige Lösungen, und dies schon ziemlich lange: S/MIME und PGP beziehungsweise OpenPGP. Hier spricht man von Ende-zu-Ende-Verschlüsselung. Der Sender einer E-Mail verschlüsselt diese, und nur der Empfänger kann sie entschlüsseln. Dies gilt zwar nur für den Nachrichteninhalt, nicht für die Metadaten (wie den Betreff, Mail-Adressen oder Zeitstempel), aber zumindest dieser wird so auch über unverschlüsselte Transportwege sicher geschützt. Eine digitale Signatur schützt die E-Mail zusätzlich vor Veränderung auf einem gegebenenfalls ungeschützten Transportweg.